Quindi sto provando qualche autenticazione basata su token in Laravel, ogni utente ha un token che può usare per accedere ad un determinato database. Ma c'è qualcosa che ancora non capisco da questi tutorial. Le esercitazioni sembrano controllare solo se un utente ha token, se sì, quindi autenticare il profilo per eseguire determinate chiamate API, ma ovviamente questo non è sicuro.
Quando diciamo che un utente "Andrew" ha il proprio token e dice che può vedere il proprio profilo (in una tabella "profilo"), può anche vedere il profilo di altre persone purché abbia il proprio token, se riesce a indovinare l'api chiama quell'altro profilo. Diciamo che ha semplicemente visto la chiamata api per il suo profilo example.site/getprofile?id=22
e prova a cambiare l'id per vedere il profilo di altri, e verrà autenticato perché ha token.
Come faccio ad assicurarmi che non possa vedere il profilo di altri? qual è la migliore pratica?